Un error estándar del cifrado de disco en Linux es la necesidad de / boot sin cifrar. Específicamente el bootloader y initrd. Encriptar todo el disco significa colocarlos en otro lugar, por ejemplo, en una memoria USB.
editar: ahora he aprendido que grub ahora puede descifrar un sistema de archivos que contiene el kernel en el arranque, por lo que solo el cargador de arranque debe estar sin cifrar bajo Linux
Tengo la impresión de que es "conocido" que FileVault implementa todo el cifrado del disco. Ciertamente creí que este era el caso. Esto es un poco difícil de demostrar sin un montón de enlaces a sitios externos. Un par de internas:
brute-force-on-whole-disk-encryption y todo el disco-cifrado-con-solo-a-ventanas-solo bootcamp
Y una pregunta existente que responde esencialmente a esta pregunta. is-file-vault-2- cifrado de todo el disco o cifrado de toda la partición
Parece bastante claro que la bóveda de archivos funciona en la granularidad de la partición y que Apple usa una partición de arranque separada. No puedo encontrar ninguna evidencia que sugiera que la bóveda de archivos se puede usar en la partición de inicio.
No entiendo cómo puede arrancar hasta el punto de ofrecer un aviso de inicio de sesión si todo el disco está cifrado. ¿Qué me estoy perdiendo?
Como referencia, el sistema que me interesa es usar apfs en lugar de cs y no tiene un chip T2.